En este documento, se describen los pasos de configuración iniciales necesarios para usar el Proxy web seguro.
Para poder usar el Proxy web seguro, completa la siguiente configuración:
- Obtener los roles de Identity and Access Management necesarios
- Crea o selecciona un proyecto de Google Cloud.
- Habilitar la facturación y las APIs relevantes de Google Cloud
- Crear subredes de proxy
- Sube un certificado SSL al Administrador de certificados.
Esta configuración solo es necesaria la primera vez que usas el Proxy web seguro.
Obtén roles de IAM
Para obtener permisos, sigue estos pasos:
-
Si quieres obtener los permisos que necesitas para aprovisionar una instancia del Proxy web seguro, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Para configurar políticas y aprovisionar una instancia de Proxy web seguro, sigue estos pasos:
Función Administrador de red de Compute (
roles/compute.networkAdmin
) -
Para subir certificados TLS explícitos de Proxy web seguro, haz lo siguiente: Función de editor del Administrador de certificados (
roles/certificatemanager.editor
)
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
-
Para configurar políticas y aprovisionar una instancia de Proxy web seguro, sigue estos pasos:
Función Administrador de red de Compute (
Opcional: Si tienes un conjunto de usuarios responsables de la administración continua de políticas, otórgales la función de administrador de políticas de seguridad (
roles/compute.orgSecurityPolicyAdmin
) para permitirles administrarlas.
Crea un proyecto de Google Cloud
Para crear o seleccionar un proyecto de Google Cloud, sigue estos pasos:
Console
En la consola de Google Cloud, en la página del selector de proyectos, selecciona o crea un proyecto de Google Cloud.
Cloud Shell
Crea un proyecto de Google Cloud:
gcloud projects create PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto que deseas.
Selecciona el proyecto de Google Cloud que creaste:
gcloud config set project PROJECT_ID
Habilita la facturación y las APIs.
Para habilitar la facturación y las APIs de Google Cloud relevantes, sigue estos pasos:
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén más información para verificar el estado de facturación de tus proyectos.
Habilita la API de Compute Engine.
Crea una subred de proxy
Crea una subred de proxy para cada región en la que implementas el Proxy web seguro. Crea un tamaño de subred de al menos /26, o bien 64 direcciones de solo proxy. Recomendamos un tamaño de subred de /23 o direcciones de solo proxy 512, ya que un grupo de direcciones IP reservadas para el Proxy web seguro proporciona la conectividad del Proxy web seguro. Este grupo se usa para asignar direcciones IP únicas en el lado de salida de cada proxy para la interacción con Cloud NAT y los destinos en la red de VPC.
gcloud
gcloud compute networks subnets create PROXY_SUBNET_NAME \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION \
--network=NETWORK_NAME \
--range=IP_RANGE
Reemplaza lo siguiente:
PROXY_SUBNET_NAME
: Es el nombre que deseas para la subred de proxy.REGION
: Es la región en la que se implementará la subred de proxy.NETWORK_NAME
: El nombre de la redIP_RANGE
: El rango de subred, como192.168.0.0/23
Implementa un certificado SSL
Para implementar certificados con el Administrador de certificados, usa cualquiera de los siguientes métodos:
Implementar un certificado regional administrado por Google con autorización de DNS por proyecto Para obtener más información, consulta Implementa un certificado regional administrado por Google.
Implementa un certificado regional administrado por Google con Certificate Authority Service. Para obtener más información, consulta Implementa un certificado regional administrado por Google con CA Service.
Implementar un certificado autoadministrado regional
En el siguiente ejemplo, se muestra cómo implementar un certificado regional autoadministrado con el Administrador de certificados.
Si deseas crear un certificado SSL, haz lo siguiente:
openssl req -x509 -newkey rsa:2048 \ -keyout KEY_PATH \ -out CERTIFICATE_PATH -days 365 \ -subj '/CN=SWP_HOST_NAME' -nodes -addext \ "subjectAltName=DNS:SWP_HOST_NAME"
Reemplaza lo siguiente:
KEY_PATH
: Es la ruta de acceso para guardar la clave, como~/key.pem
.CERTIFICATE_PATH
: Es la ruta de acceso para guardar el certificado, como~/cert.pem
.SWP_HOST_NAME
: Es el nombre de host para tu instancia del Proxy web seguro, comomyswp.example.com
.
Para subir el certificado SSL al Administrador de certificados, haz lo siguiente:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file=CERTIFICATE_PATH \ --private-key-file=KEY_PATH \ --location=REGION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es el nombre del certificado.CERTIFICATE_PATH
: Es la ruta de acceso al archivo del certificado.KEY_PATH
: Es la ruta de acceso al archivo de claves.
Para obtener más información sobre los certificados SSL, consulta Descripción general de los certificados SSL.
¿Qué sigue?
- Implementa y prueba una instancia del Proxy web seguro
- Usa etiquetas para crear políticas
- Cómo usar una lista de URLs para crear políticas
- Asigna direcciones IP estáticas para el tráfico de salida